JP4512179B2 - ストレージ装置及びそのアクセス管理方法 - Google Patents
ストレージ装置及びそのアクセス管理方法 Download PDFInfo
- Publication number
- JP4512179B2 JP4512179B2 JP2003367152A JP2003367152A JP4512179B2 JP 4512179 B2 JP4512179 B2 JP 4512179B2 JP 2003367152 A JP2003367152 A JP 2003367152A JP 2003367152 A JP2003367152 A JP 2003367152A JP 4512179 B2 JP4512179 B2 JP 4512179B2
- Authority
- JP
- Japan
- Prior art keywords
- mac address
- access
- determination
- host computer
- command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Description
本発明は、ストレージ装置及びそのアクセス管理方法に係り、特にホストコンピュータ(以下単にホストと言う)からiSCSIプロトコルによってストレージ装置内のデータをアクセスするストレージシステムにおけるセキュリティの管理に関する。
単体又は複数のハードディスクドライブの集合体、若しくは専用の制御部で複数のハードディスクドライブを制御するディスクアレイ装置等から成るストレージ装置(記憶装置システム)を、インタフェースを介してホストと接続して、ホストからアクセスするストレージシステムが実用化されている。通常、ストレージ装置は、1つ又は複数のボリュームと称する論理装置(Logical Unit:LU)を持ち、論理装置にはID番号又は論理装置番号(LUN)が割当てられる。
ストレージ装置とホストを接続するインタフェース技術としては、SCSI(Small Computer Systems Interface)やファイバチャネル(FC)が用いられる。
SCSIインタフェースは安価であり、クライアント/サーバ型を基本とする比較的近距離接続用のインタフェースとして利用されている。SCSIにおいて、クライアントはコマンドを発行する能動的な役割を持ち、イニシエタと呼ばれる。またサーバは、クライアントの要求に従う受動的な役割を持ち、ターゲットと呼ばれる。論理装置に処理を指示するコマンドは、イニシエタから発行されるCommand Descriptor Block (CDB)に含まれる。
SCSIインタフェースは安価であり、クライアント/サーバ型を基本とする比較的近距離接続用のインタフェースとして利用されている。SCSIにおいて、クライアントはコマンドを発行する能動的な役割を持ち、イニシエタと呼ばれる。またサーバは、クライアントの要求に従う受動的な役割を持ち、ターゲットと呼ばれる。論理装置に処理を指示するコマンドは、イニシエタから発行されるCommand Descriptor Block (CDB)に含まれる。
このようなストレージシステムにおいて、ストレージ装置内の論理装置(LU)に対する不正なアクセスを防止するためのセキュリティを実現する技術としては、例えば、特開平10−333839公報(特許文献1)或いは特開2001−265655公報(特許文献2)に開示されている。
前者は、LU毎に予めアクセス許可したホストを示すWWN(World Wide Name)との関係をストレージ装置内のテーブルに記憶しておき、ホストからのログインフレームに格納されたWWNとテーブルの内容とを照合するすることによってホストの識別を行い、ストレージ装置内のLUへのアクセス可否の判断を行なう。
後者は、ホストのWWNとポートIDの関係をテーブルに記憶し、WWNが格納されていないフレーム(たとえばCDBが格納されたフレーム)について、ポートIDから対応するWWNを参照してLUのアクセス可否の判断を行なう。
なお以下、ストレージ装置内の特定LUに対するホストからのアクセス可否を制御する方法を、便宜上「LUNセキュリティ」と呼ぶことにする。
なお以下、ストレージ装置内の特定LUに対するホストからのアクセス可否を制御する方法を、便宜上「LUNセキュリティ」と呼ぶことにする。
ところで、最近、ネットワークプロトコルであるTCP/IP上で、上位プロトコルとしてSCSI処理を実現するためのプロトコル技術であるiSCSI(internet SCSI)が注目されている。iSCSIはIPネットワーク上で用いられるプロトコルとして、IETF(The Internet Engineering Task Force)で規格化されたものである。
IPネットワークはファイバチャネルよりも安価であり、より多くのユーザからストレージ装置内のLUを利用する形態が取り得ると考えられる。しかし、誤操作や悪意のある攻撃によってLUのデータが破壊されてしまった場合に影響を及ぼす範囲も広くなる。このため、IPネットワーク上でiSCSIを用いたストレージ装置内のLUに対するアクセスにおいてもLUNセキュリティを保証することが重要である。
LUNセキュリティのチェックのために、TCP/IPで知られているMACアドレスをホスト識別情報として用いることが考えられる。MACアドレスは、ビット数が比較的少なく、アクセス管理のために必要な記憶領域が少なくて済み、また物理的なネットワークインタフェースに固有の値であるので、詐称されにくい、という利点を持つ。
しかしながら、IPネットワークにおいて、ルータを経由するとデータリンクフレームのMACアドレスはルータのネットワークカードのMACアドレスに書き換えられてしまう。従って、ホストとストレージ装置の間にルータがある場合、ターゲットはホストから受信したパケットからホストのMACアドレスを取得できないという問題がある。
上記特許文献1及び文献2には、IPネットワークでMACアドレスをホスト識別のための情報として利用するに際して、ルータを経由する場合のMACアドレスを取得する方法についてまでは言及されていない。
本発明の目的は、iSCSIプロトコルを用いるストレージ装置に対するホストからのアクセス要求に関するセキュリティの向上を図ったアクセスの管理方法又はストレージ装置を提供することにある。
本発明の他の目的は、IPネットワークに接続されたストレージ装置において、MACアドレスを用いてホストを識別して、ホストからのログイン要求の許可の判定を行い得る方法又はストレージ装置を提供することにある。
本発明の他の目的は、IPネットワークに接続されるストレージ装置に対するアクセスに関し、アクセス元のホストが同一のネットワークに属するか否かに応じて、ログイン要求処理やコマンドに関するアクセス管理の方法を変更することができるアクセスの管理方法を提供することにある。
本発明の他の目的は、IPネットワークに接続されたストレージ装置において、MACアドレスを用いてホストを識別して、ホストからのログイン要求の許可の判定を行い得る方法又はストレージ装置を提供することにある。
本発明の他の目的は、IPネットワークに接続されるストレージ装置に対するアクセスに関し、アクセス元のホストが同一のネットワークに属するか否かに応じて、ログイン要求処理やコマンドに関するアクセス管理の方法を変更することができるアクセスの管理方法を提供することにある。
本発明は、IPネットワークを介して接続されるホストコンピュータから送信されるコマンドを処理するストレージ装置において、コマンドによって処理される対象となるデータを記憶する記憶装置と、ホストコンピュータの識別に関連する第一の情報を格納するアクセス管理テーブルを保持するメモリと、ホストコンピュータから送信されるログイン要求に関して、ログイン要求のフレームにホストコンピュータの識別に関連する第二の情報が含まれるか否かを判定する第一判定手段と、第一判定手段による判定の結果、ログイン要求フレームに意図する第二の情報が含まれていない場合には、ログイン要求フレームのソースアドレスに対してホストコンピュータの識別に関連する第一の情報を送信するように要求する手段と、要求手段からの要求に対する応答として、ホストコンピュータから獲得した第一の情報に関して、アクセス管理テーブルを参照して判定する第二判定手段と、第二判定手段による判定の結果に応じて、ログイン要求の許可を行うものである。
好ましい例では、上記記憶装置は、iSCSIプロトコルによりアクセスさせる。また、上記アクセス管理テーブルに格納される第一の情報は、ホストコンピュータが接続されるIPネットワークのインタフェースのMACアドレスである。
好ましい例では、上記記憶装置は、iSCSIプロトコルによりアクセスさせる。また、上記アクセス管理テーブルに格納される第一の情報は、ホストコンピュータが接続されるIPネットワークのインタフェースのMACアドレスである。
本発明に係るアクセス管理方法は、外部の装置例えばホストコンピュータからネットワークを介してストレージ装置へ送られるアクセス要求に関して、アクセス許可を管理するアクセス制御の管理方法において、外部から送信されるログイン要求のフレームをストレージ装置で受信するステップと、受信した該フレームに外部の装置を特定する第二の情報が含まれているかを判定する第一の判定ステップと、第一の判定の結果、フレームに第二の情報が含まれていない場合、外部の装置に対してそれを特定する第一の情報の取得を要求するステップと、取得された第一の情報に関してチェックを行い、アクセス許可をすべきかを判定する第二の判定ステップと、第二の判定の結果、許可された場合に外部の装置からストレージ装置に対するアクセス要求を許可するステップとを有する。
好ましい例において、ストレージ装置は、iSCSI層、TCP層、IP層、データリンク層を有し、このストレージ装置をIPネットワークに接続される。
第一の情報として、好ましくはMACアドレスが使用され、第二の情報としてIPアドレスが使用される。
また、好ましくは、ストレージ装置へのアクセスが許可された外部装置を特定するMACアドレスを登録するテーブルが、ストレージ装置のメモリに予め用意される。そして、第二の判定ステップでは、外部装置から取得された第一の情報に関して、このテーブルを参照することにより判定が行なわれる。
また、第一の情報の取得を要求ステップにおいて、IPネットワークに接続される装置を監視するためのSNMPマネージャにより外部の装置から第一の情報を送信するように要求する。
第一の情報として、好ましくはMACアドレスが使用され、第二の情報としてIPアドレスが使用される。
また、好ましくは、ストレージ装置へのアクセスが許可された外部装置を特定するMACアドレスを登録するテーブルが、ストレージ装置のメモリに予め用意される。そして、第二の判定ステップでは、外部装置から取得された第一の情報に関して、このテーブルを参照することにより判定が行なわれる。
また、第一の情報の取得を要求ステップにおいて、IPネットワークに接続される装置を監視するためのSNMPマネージャにより外部の装置から第一の情報を送信するように要求する。
好ましい例では、ストレージ装置には、複数の論理装置(LU)が定義され、またアクセス管理テーブルには、MACアドレスと、MACアドレスのIPネットワークのインタフェースを持つ外部の装置がアクセス許可されたLUの識別符号が登録される。そして、前記第二の判定ステップの後に、外部の装置から送信されたコマンドの処理に関して、このテーブルを参照して予め登録されたLUに対するアクセスか否かを判定する第三の判定ステップを有し、この第三の判定の結果、許可されたLUに対してコマンドの処理が行なわれる。
本発明はまた、ネットワークに接続された第一の装置から第二の装置へのアクセスに関する許可を管理する方法、或いはコマンド処理の方法として把握される。この方法は、第一の装置から第二の装置に対するアクセスが同一のネットワーク間で行われるか否かを第一の装置から送信された情報のうちの第二の情報を用いてチェックする第一のチェックモードと、第一のチェックモードにおいて、同一のネットワーク間の通信でないと判定された場合、送信元となる第一の装置にから所定の第一の情報を獲得するステップと、獲得された第一の情報を用いて第二の装置へのアクセスの許可の可否をチェックする第二のチェックモードと、第二のチェックモードにおいて許可された場合に、第一の装置から第二の装置へ送信されるコマンドの処理を行う。
本発明によれば、IPネットワークに接続されたiSCSIプロトコルを用いるストレージ装置において、MACアドレスを用いてホストを識別して、ホストからのログイン要求の許可の判定が行える。
また、アクセス元のホストが同一のネットワーク(同一セグメント)に属するか否かに応じて、ログイン要求処理やコマンドに関するアクセス管理の方法を変更することができる。これにより、ストレージ装置に対するホストからのアクセス要求に関するセキュリティの向上が図れる。
また、アクセス元のホストが同一のネットワーク(同一セグメント)に属するか否かに応じて、ログイン要求処理やコマンドに関するアクセス管理の方法を変更することができる。これにより、ストレージ装置に対するホストからのアクセス要求に関するセキュリティの向上が図れる。
以下、図面を参照して本発明の実施形態を説明する。
図1は一実施形態によるデータ処理システムのハードウェア構成を示すブロック図である。
このデータ処理システムは、IPネットワーク400を介してホスト100とストレージ装置200が接続されて構成される。このネットワーク400を介してホスト100とストレージ装置200の間でパケット形式のデータが送受信される。
図1は一実施形態によるデータ処理システムのハードウェア構成を示すブロック図である。
このデータ処理システムは、IPネットワーク400を介してホスト100とストレージ装置200が接続されて構成される。このネットワーク400を介してホスト100とストレージ装置200の間でパケット形式のデータが送受信される。
ストレージ装置200は、記憶制御装置210、複数のディスク装置220及びサービスプロセッサ(SVP)230を備える。複数のディスク装置は、大量のデータを記憶する例えばRAID構成のディスクアレイ装置であり、ホストからのコマンド処理によりデータの書き込み読み出しが行われる。SVP230は表示部及び入力部を備える。記憶制御装置210は、ホストアダプタ240、キャッシュメモリ250、ディスクアダプタ260、プロセッサ270、制御メモリ280を有する。ホストアダプタ240は、iSCSIポート242を有する。ポート211はギガビットイーサネットのような高速IPインタフェース410を介してIPネットワーク400に接続される。
ホスト100は、CPU110、主記憶装置120、及び入出力処理装置130を有する計算機であり、具体的にはワークステーション、マイクロコンピュータ又はメインフレームコンピュータ等である。入出力処理装置130は、iSCSIポート132を有する。ポート132は高速IPインタフェース410を介してIPネットワーク400に接続される。
尚、図示していないが、ホスト100とストレージ装置200は、ルータを介してIPネットワーク経由400で接続される場合もある。また、接続する経路は一本であるとは限らない。
図2は、図1に示すデータ処理システムの論理的な構成を示す図である。
ホスト100で生成されたコマンドまたはデータ50は、iSCSI層90AのiSCSIイニシエタ機能でプロトコル変換され、更にTCP層92、IP層94で制御情報(ヘッダ)を付加されてパケット処理され、データリンク層96からネットワーク400へ送信される。データリンク層はMAC(Media Access Control)層とも呼ばれ、例えばイーサネット(登録商標)やギガビットイーサネットとして実現される。
ホスト100で生成されたコマンドまたはデータ50は、iSCSI層90AのiSCSIイニシエタ機能でプロトコル変換され、更にTCP層92、IP層94で制御情報(ヘッダ)を付加されてパケット処理され、データリンク層96からネットワーク400へ送信される。データリンク層はMAC(Media Access Control)層とも呼ばれ、例えばイーサネット(登録商標)やギガビットイーサネットとして実現される。
一方、ストレージ装置200では、ネットワーク400から受信されたコマンドまたはデータ50は、データリンク層96、IP層94、TCP層92で処理され、各制御情報を除去される。そして、イニシエタのiSCSIイニシエタ機能が送り出した形でiSCSI層90BのiSCSIターゲット機能へと送られ、処理される。各プロトコル処理層すなわちiSCSI層、TCP層、IP層、データリンク層はハードウェアまたはプロセッサ上のソフトウェア、あるいはそれらの組み合わせにより実現される。
尚、ストレージ装置200からホスト100へデータが送信される時は、上記と逆のプロトコル処理が行われる。
尚、ストレージ装置200からホスト100へデータが送信される時は、上記と逆のプロトコル処理が行われる。
本実施例で特徴的なことは、ホスト100には、SNMPエージェント99Aが実装され、ストレージ装置200にSNMPマネージャ99Bが実装される。そのために、ホスト100とストレージ装置200は、夫々UDP層98を持つ。また、ストレージ装置200は、ホストを一意に識別する情報を格納するアクセス管理テーブル80を有する。尚、アクセス管理テーブル80の内容については図5を参照して後述する。
ここで、SNMP(Simple Network Management Protocol)の一般的な効用について概略説明しておきたい。
SNMPは、IETF規格でRFC1157として定義された、ネットワークに接続された機器をネットワーク経由で監視するためのプロトコルであり、UDP/IP上で規定されて使用される。SNMPは管理対象となる機器に常駐するSNMPエージェントと、管理する側の機器(監視サーバ)上のSNMPマネージャ間で通信に用いられる。SNMPマネージャとSNMPエージェントの間で行われる通信には3つの種類があるが、その内この実施例では、情報の要求と応答に関する通信の例を用いる。即ち、SNMPマネージャからSNMPエージェントに、監視対象の機器の情報を要求し、一方、SNMPエージェントは要求された情報を取得してSNMPマネージャに応答する。
SNMPは、IETF規格でRFC1157として定義された、ネットワークに接続された機器をネットワーク経由で監視するためのプロトコルであり、UDP/IP上で規定されて使用される。SNMPは管理対象となる機器に常駐するSNMPエージェントと、管理する側の機器(監視サーバ)上のSNMPマネージャ間で通信に用いられる。SNMPマネージャとSNMPエージェントの間で行われる通信には3つの種類があるが、その内この実施例では、情報の要求と応答に関する通信の例を用いる。即ち、SNMPマネージャからSNMPエージェントに、監視対象の機器の情報を要求し、一方、SNMPエージェントは要求された情報を取得してSNMPマネージャに応答する。
SNMPで管理される機器は、MIB(Management Information Base)と呼ばれる機器の状態を表わすデータと、SNMPマネージャの指示によりこれを操作するSNMPエージェントと呼ばれるプログラムを持つ。MIBとして定義されていればポート数など静的で変化の無い情報も、トラフィック状態など動的な情報もいずれも取得可能である。一般にIPネットワーク管理はネットワーク構成機器が多種・多数で困難な作業となりがちであるが、SNMPとMIBを利用することにより効率的な管理ができる。
SNMP処理やUDPプロトコル処理に関しては、各プロトコル処理層すなわちiSCSI層、TCP層、IP層、データリンク層の処理と同様にハードウェアまたはプロセッサ上のソフトウェア、あるいはそれらの組み合わせで実現される。例えばSNMPマネージャ99BおよびSNMPエージェント99Aとしては、既に用意されているソフトウェアを用いても良い。例えばホスト100のOSがLinuxならば、Linux 用に公開されているプログラムを入手してインストールして、適当にMIBを設定する。
本実施例では、SNMPマネージャ99BはMACアドレスを獲得するために使用される。MIB構造のなかでもMIB−2で定義されるMACアドレスの獲得にのみ特化したSNMP機能を部分的にサポートしたソフトウェアとして実現する。この場合、SNMP機能はiSCSIターゲットおよびiSCSIイニシエタの機能の一部として実現できる。
アクセス要求を送信したホストを識別するために、ホストのポートのMACアドレスを用いる利点としては、MACアドレスはビット数が少なくアクセス管理テーブルのために必要な記憶領域が少なくて済む。またMACアドレスはポートに固有の値であるので、詐称されにくいこと、が上げられる。
アクセス要求を送信したホストを識別するために、ホストのポートのMACアドレスを用いる利点としては、MACアドレスはビット数が少なくアクセス管理テーブルのために必要な記憶領域が少なくて済む。またMACアドレスはポートに固有の値であるので、詐称されにくいこと、が上げられる。
次に、ホスト100のSNMPエージェントとストレージ装置200SNMPマネージャとの間の通信について簡単に説明する。(詳細は図6〜8を参照して後述する。)
ホスト100から送信されたiSCSIログイン要求S1を受信したストレージ装置のiSCSIターゲット機能90Bは、SNMPマネージャ99Bに指示して、iSCSIログイン要求S1の発行元のネットワークアドレス(IPアドレス)に対しMACアドレスを要求するために、SNMPリクエストS2を送信させる。
SNMPリクエストS2を受信したホスト100のSNMPエージェント99Aは、通常のSNMP処理として、要求されたMACアドレスを含むMIBをSNMPレスポンスS3として応答する。このSNMPレスポンスS3を受信したSNMPマネージャ99Bは、iSCSIターゲット機能90Bへ受信したMACアドレスを報告する。
ホスト100から送信されたiSCSIログイン要求S1を受信したストレージ装置のiSCSIターゲット機能90Bは、SNMPマネージャ99Bに指示して、iSCSIログイン要求S1の発行元のネットワークアドレス(IPアドレス)に対しMACアドレスを要求するために、SNMPリクエストS2を送信させる。
SNMPリクエストS2を受信したホスト100のSNMPエージェント99Aは、通常のSNMP処理として、要求されたMACアドレスを含むMIBをSNMPレスポンスS3として応答する。このSNMPレスポンスS3を受信したSNMPマネージャ99Bは、iSCSIターゲット機能90Bへ受信したMACアドレスを報告する。
iSCSIターゲット機能90Bは、獲得したホストのMACアドレスが、アクセス管理テーブル80に登録されているか否かによりログインが正当であるか否かの判定を行なう。アクセス管理テーブル80にそのMACアドレスが登録されている場合には、ログイン要求を許可し、それを伝えるためホストにログインレスポンスを返信する(S4)。
また、この様にしてログインが成立した後、ホストから受信するコマンドについて、予め許可されたLUへのアクセスか否かの判定を行ない、許可されたLUに対するコマンドの処理を行なう。尚、このアクセス制御処理の詳細については後述する。
また、この様にしてログインが成立した後、ホストから受信するコマンドについて、予め許可されたLUへのアクセスか否かの判定を行ない、許可されたLUに対するコマンドの処理を行なう。尚、このアクセス制御処理の詳細については後述する。
図3は、iSCSIのイニシエタとターゲット間の通信に用いられるパケットのフォーマットの例を示す。
iSCSI層において、データの通信の単位となるPDU(iSCSI PDU)は、BHS(Basic Header Segment)33とデータセグメント34から構成される。BHS33とデータセグメント34との間にAHS(Additional Header Sequence)が挿入される場合もあるが、図3の例ではそれを省略してある。
iSCSI層において、データの通信の単位となるPDU(iSCSI PDU)は、BHS(Basic Header Segment)33とデータセグメント34から構成される。BHS33とデータセグメント34との間にAHS(Additional Header Sequence)が挿入される場合もあるが、図3の例ではそれを省略してある。
TCP層、IP層、データリンク層では、iSCSI層からのパケットデータに対して先頭に、データリンクヘッダ(DLH)30、IPヘッダ(IPH)31、TCPヘッダ(TCH)32が付加される。さらにiSCSIパケットデータの最後部にはデータリンクトレイラ(DLT)35が付加される。
IP層では、IPアドレスと呼ぶ番号でノード(ネットワークに接続されている機器)の識別が行なわれる。現在広く普及しているIPv4では、IPアドレスとして32ビットの数値が使われており、次世代のIPv6では128ビットの数値が用いられる。IPv4のIPヘッダでは先頭から13〜16バイト目に発信元を示すソースIPアドレスが格納され、17〜20バイト目に宛先を示すデスティネーションIPアドレスが格納される。
データリンク層において、各ネットワークカードには固有のアドレスが割り当てられ、このアドレスを基にしてデータリンクフレーム(データリンクヘッダから始まりデータリンクトレイラで終了する)の送受信が行なわれる。この固有のアドレスをMACアドレスと呼ぶ。MACアドレスはイーサネットならば6バイト長であり、先頭の3バイトはベンダコードとしてIEEE(Institute of Electrical and Electronic Engineers )が管理し割り当てを行なっている。残り3バイトは各ベンダで重複しないように管理しているコードである。このようにして設定されたMACアドレスは、他人のMACアドレスとは重複せず、全て異なるアドレスが割り当てられる。
データリンクヘッダの最初の6バイトは宛先を示すデスティネーションMACアドレスである。データリンクヘッダの次の6バイトは発信元を示すソースMACアドレスである。
図4に、ログイン要求フレームの構成例を示す。
ログイン要求或いはログインレスポンスのフレームは、基本的に似ている。図4は、ログイン要求、ログインレスポンスフレームの、主にiSCSIのPDUの部分を示す。いずれのフレームも1ワードが4バイトずつで、BHSは48ワードから構成されている。
ログイン要求或いはログインレスポンスのフレームは、基本的に似ている。図4は、ログイン要求、ログインレスポンスフレームの、主にiSCSIのPDUの部分を示す。いずれのフレームも1ワードが4バイトずつで、BHSは48ワードから構成されている。
BHSの後にはデータセグメントが付加される。ログイン要求フレームおよびログインレスポンスフレームでは、データセグメントにiSCSI通信に必要な各種パラメータを格納して、それらの交換やネゴシエーションを行う。パラメータは、TEXT形式と呼ぶ、<キー>=<値> で表される形式で記述される。データセグメントは可変長(4バイトの倍数)である。
ログインレスポンスのステータス領域(Status-ClassとStatus-Detailを合せた領域)にはログインのステータスが格納される。ステータスが0000(Status-Class及びStatus-Detailが00)ならば、ログインが成功している状態を示す。ステータスが0000以外ならば何らかの理由でログインが成功していない状態を示し、イニシエタは別のパラメータでログインを試みるか、或いはログインをあきらめる。
次に、図5を参照してアクセス管理テーブル80について説明する。
アクセス管理テーブル80には、各行ごとにホストのネットワークインタフェースのMACアドレス81と、それに対応するIPアドレス82と、MACアドレスを持つホストに対しアクセス許可するLUのリスト83と、MACアドレスを持つホストとの通信状況(Session)84が登録される。
アクセス管理テーブル80には、各行ごとにホストのネットワークインタフェースのMACアドレス81と、それに対応するIPアドレス82と、MACアドレスを持つホストに対しアクセス許可するLUのリスト83と、MACアドレスを持つホストとの通信状況(Session)84が登録される。
通信状況84は、例えば次の様に表される。
(1)iSCSIログイン要求受信前であってホストとの通信が行なわれていない("not establish")
(2)iSCSIログイン要求を受信して判定中であり、iSCSIログインレスポンスを応答してログイン成立前("login")
(3)iSCSIログイン成立後("establish")
アクセス管理テーブル80は、ホストとアクセスを許されたLUをアクセス管理テーブルに設定するために、それらの内容をコンソールSVP230の表示部に表示したり、その入力部からの操作により登録内容の変更が可能である。
(1)iSCSIログイン要求受信前であってホストとの通信が行なわれていない("not establish")
(2)iSCSIログイン要求を受信して判定中であり、iSCSIログインレスポンスを応答してログイン成立前("login")
(3)iSCSIログイン成立後("establish")
アクセス管理テーブル80は、ホストとアクセスを許されたLUをアクセス管理テーブルに設定するために、それらの内容をコンソールSVP230の表示部に表示したり、その入力部からの操作により登録内容の変更が可能である。
次に図6〜図8のフローチャートを参照して、アクセス制御処理の詳細について説明する。
ストレージ装置100は、ホスト100から送信されたiSCSI Login 要求S1を受信すると(1100)、そのiSCSI Login 要求S1のIPヘッダを参照して、ソースアドレスが自ポートと同一セグメント内のIPアドレスであるか否かを判定する(1110)。
この判定の結果、iSCSI Login 要求S1のソースIPアドレスが自ポートと同一ネットワーク内で無かった場合、同一ネットワーク外のポートからログイン要求があったことを制御メモリ280内のログに記録する(1120)。そしてSNMPマネージャ99Bに、iSCSI Login 要求フレームのソースIPアドレスに対するMIB獲得を指示する(1130)。この指示に従って、SNMPマネージャ99Bは、SNMPリクエストS2をホストへ送信する。
ストレージ装置100は、ホスト100から送信されたiSCSI Login 要求S1を受信すると(1100)、そのiSCSI Login 要求S1のIPヘッダを参照して、ソースアドレスが自ポートと同一セグメント内のIPアドレスであるか否かを判定する(1110)。
この判定の結果、iSCSI Login 要求S1のソースIPアドレスが自ポートと同一ネットワーク内で無かった場合、同一ネットワーク外のポートからログイン要求があったことを制御メモリ280内のログに記録する(1120)。そしてSNMPマネージャ99Bに、iSCSI Login 要求フレームのソースIPアドレスに対するMIB獲得を指示する(1130)。この指示に従って、SNMPマネージャ99Bは、SNMPリクエストS2をホストへ送信する。
次に、ホスト100でSNMPリクエストが拒絶されたか又はSNMPレスポンスがホストから応答されず一定時間経過した(タイムアウトが発生した)か否かが判定される(1140)。もしSNMPリクエストS2に対するSNMPレスポンスS3が、タイムアウトを起こさずにストレージ装置200で受信できた場合、そのSNMPレスポンスで獲得したホストのポートのMACアドレスが、アクセス管理テーブル80に登録されているか否かが判定される(1150)。その判定の結果、テーブル80に登録されている場合には、ホスト100からのアクセスが許可されているため、ログインを許可するiSCSI Login レスポンスS4をホストに対して返信する(1160)。
この後は、図6に示すiSCSI の Full Feature phase に移る(1400)。この場合、ログイン要求をしてきたホスト100はストレージ装置200とは異なるセグメントにあるので、ホスト100から送信された各フレームのMACアドレスは途中のルータ装置で書き換えられるため、ホスト識別情報としては、ホスト送信フレームのソースIPアドレスを用いる。
ホスト100からCommand PDUを受信したら(1410)、アクセス管理テーブル80を参照して、コマンドが格納されたフレームのソースIPアドレスについて、そのコマンドが示すLUが登録されているか否かを判定する(1420)。この判定の結果、もしLUが登録されていれば、そのLUへのアクセス許可が有ると判断して、そのLUに対してコマンドの処理を行ない(1430)、そのコマンドの処理を終了する(1440)。
一方、ステップ1420の判定において、ソースIPアドレスから、もしコマンドが示すLUが登録されていなければ、そのLUへのアクセスが許可されていないアクセス要求があったことをログに記録し(1450)、そのコマンドの処理を行なわずに終了する。
さて話を戻して、上記ステップ1110の判定の結果、「Yes」であるときには、図7に示す処理が行なわれる。この場合、ログイン要求をしてきたホスト100はストレージ装置200と同一セグメントにあるので、ホストから送信された各フレームのソースMACアドレスをホスト識別情報として利用できる。
まず、iSCSI Login リクエストS1のソースMACアドレスがアクセス管理テーブル80に登録されているか否かを判定する(1230)。この判定の結果、もしテーブル80に登録されていれば、ホスト100からのアクセスが許可されているので、ログインを許可する旨のiSCSI Login レスポンスS4をホストへ返信する(1240)。この後、iSCSI の Full Feature phase となる(1300)。すなわちホスト100からCommand PDUを受信したら(1310)、アクセス管理テーブル80を参照して、そのコマンドが格納されたフレームのソースMACアドレスに関し、コマンドが示すLUが登録されているか否かを判定する(1320)。もしLUが登録されていれば、そのLUに関してコマンドの処理を行ない(1330)、そのコマンドの処理を終了する(1340)。
一方、上記ステップ1320の判定で、ソースMACアドレスから、そのコマンドが示すLUが登録されていない場合は、そのLUへのアクセスが許可されていないアクセス要求があったことをログに記録し(1350)、そのコマンドの処理を行なわずに終了する。
また、上記ステップ1230の判定の結果「No」であった場合、またはステップ1140の判定の結果「Yes」であった場合、またはステップ1150の判定の結果「No」であった場合には、ログインを許可しない旨のiSCSI Login レスポンスをホスト100へ応答(ステータスとして0000以外を応答)する(1200)。すなわちこの場合には、MACアドレスを用いてホストを識別できなかった、或いはホストのMACアドレスがアクセス管理テーブル80に登録されていなかったので、アクセスを許可されていないポートからのログイン要求が有ったものと判断する。そして未登録のポートからログイン要求があったことをログに記録して終了する(1210)。
尚、上記ログに関して言えば、ログとして相手ポートのIPアドレス及びイベントの発生時刻がイベント毎に取得されて、制御メモリ280に記憶される。この様に取得されたログは、その後管理者の操作又は予め定められたスケジュールに従ってSVP230の表示部に表示される。管理者はその表示内容から判断して、ネットワークの切り離しや、及び目的外のホストからのアクセスの防止のための操作を行える。
以上、一実施形態について説明したが、以下種々の変形例について説明する。
上記実施形態では、ステップ1110でiSCSI Login リクエストS1を送信したポートが自ポートと同一セグメントに属するか否かを iSCSI Login リクエストが格納されたIPパケットのソースIPアドレスで判定している。しかしながら変形例では、そのソースIPアドレスに代わって、IPパケットがカプセル化されたイーサネットフレームのフレームヘッダに含まれるソースMACアドレスで判定しても良い。すなわち、ソースMACアドレスが、ルータのポートのMACアドレスである場合、イーサネットフレームはルータを経由して自ポートに到達したので、iSCSI Login リクエストを発行したポートは同一ネットワークに属さない。ソースMACアドレスが、ルータのポートのMACアドレスでない場合、イーサネットフレームはルータを経由せず自ポートに到達したので、iSCSI Login リクエストを発行したポートは同一ネットワークに属する。
判定の結果、分岐した後の処理(ステップ1120以降またはステップ1230以降の処理)は、前述の通りである。
上記実施形態では、ステップ1110でiSCSI Login リクエストS1を送信したポートが自ポートと同一セグメントに属するか否かを iSCSI Login リクエストが格納されたIPパケットのソースIPアドレスで判定している。しかしながら変形例では、そのソースIPアドレスに代わって、IPパケットがカプセル化されたイーサネットフレームのフレームヘッダに含まれるソースMACアドレスで判定しても良い。すなわち、ソースMACアドレスが、ルータのポートのMACアドレスである場合、イーサネットフレームはルータを経由して自ポートに到達したので、iSCSI Login リクエストを発行したポートは同一ネットワークに属さない。ソースMACアドレスが、ルータのポートのMACアドレスでない場合、イーサネットフレームはルータを経由せず自ポートに到達したので、iSCSI Login リクエストを発行したポートは同一ネットワークに属する。
判定の結果、分岐した後の処理(ステップ1120以降またはステップ1230以降の処理)は、前述の通りである。
また他の変形例について言えば、上記実施形態では、ログイン成立後も受信した各コマンドに関して、それを送信したホストをMACアドレスまたはIPアドレスを基に識別して、LUへのアクセス可否を判定している。これに対して変形例では、処理の簡略化または高速化などの要望に応えるために、単にログイン要求フレームの受信時に未登録のホストからのログインを拒否するだけならば、図6のステップ1420、及び又は図7のステップ1320の判定を省略し、full feature phase開始後は、受信したPDUを全てチェックせずに処理を行なうこともできる。
この場合、アクセス管理テーブル80には、単にログインを許可するホストのMACアドレスのみを登録しておけば良い。例えば図9に示すようにMACアドレスのリスト形式の登録テーブルとすれば良い。
この場合、アクセス管理テーブル80には、単にログインを許可するホストのMACアドレスのみを登録しておけば良い。例えば図9に示すようにMACアドレスのリスト形式の登録テーブルとすれば良い。
更に他の変形例において、full feature phase(1300又は1400)で、全ての各コマンドに関して、それらを送信したホストをMACアドレスまたはIPアドレスを基に識別し、LUへのアクセス可否の判定は行わず、例えばストレージ装置200への書き込み(write)を指示するコマンドに関してのみホストのアクセス可否の判定を行ない、それ以外のコマンドはその判定を行わず処理することも可能である。
更に他の変形例において、ログアウトした後も、前回のログイン時の情報(ホストのMACアドレス、IPアドレス)をアクセス管理テーブルに記憶しておいて、次回のログイン時の認証に利用することも可能である。
更に他の変形例に関して、図2を参照した上記実施形態では、ホストとストレージ装置との間のデータの通信を前提としていた。しかし、変形した例では、ストレージ装置どうしでデータ通信する場合にも適用できる。この場合、片方のストレージ装置がホストの役割を果たす。すなわちホストの役割を果たす側のストレージ装置の記憶制御装置210が持つプロセッサ270、またはホストアダプタ240が持つプロトコル処理用ハードウェア、あるいはそれらの組み合わせでホストとしてのプロトコル処理を実現する。
また他の例として、1つ又は複数のストレージ装置200にIPインタフェースを介して接続する管理サーバを設け、この管理サーバに図1示すSVP230に加え又はそれに代わって上記SVP230の機能、例えばログの記録等の処理を行わせても良い。この管理サーバにより複数のストレージ装置を一元的に監視することが可能となる。
更にまた上記実施形態では、ストレージ装置からホストのMACアドレスを獲得するためにSNMPリクエストを用いたが、別の手段を用いることもできる。例えば、iSCSIのTEXT Mode negotiation と呼ぶ、イニシエタとターゲット間で各種動作パラメータの交換をするためのプロトコルを用いて、イニシエタに対しMACアドレスを送信するように要求することができる。
その場合、SNMPマネージャやSNMPエージェントをストレージ装置やホストが持つ必要は無いが、ホストはTEXT Requestで示されたMACアドレス要求を理解し、TEXT ResponseとしてMACアドレスを応答する機能を持つ必要がある。TEXT Request及びTEXT Responseは、各々TEXT形式で記述される。
その場合、SNMPマネージャやSNMPエージェントをストレージ装置やホストが持つ必要は無いが、ホストはTEXT Requestで示されたMACアドレス要求を理解し、TEXT ResponseとしてMACアドレスを応答する機能を持つ必要がある。TEXT Request及びTEXT Responseは、各々TEXT形式で記述される。
図10に、iSCSIのTEXT Mode negotiationによるMACアドレスの獲得のためのアクセス制御処理の一例を示す。
イニシエタからターゲットに対してiSCSI Login リクエストが発せられると(S1)、ターゲットからイニシエタには、iSCSI Login レスポンスが返される。この例では、MACアドレスに基くセキュリティを利用する旨の問合せ用として、ベンダが独自に設定したXで始まるキー「X-com.・・security」をデータセグメントに用いて返信する(S2)。このようにターゲットが新しいパラメータを示したので、これに対してイニシエタは、ログインフェーズを続ける。この例では、イニシエタが、「X-com.・・security」と言うキーを知っていて、「MACアドレスに基くセキュリティを利用する」ことに同意している。そこで、イニシエタは、ターゲットとの通信に用いるポートのMACアドレス「0123456789AB」をターゲットへ送信する(S3)。それを受信したターゲットは、「0123456789AB」が管理テーブルに予め設定したあったMACアドレスであったので、ログインを許可する。反対に、もし登録されていないMACアドレスならば、0000以外のステータスを応答してログインを拒否する(S4)。
次に、ログインの失敗した場合(B)について説明する。
ISCSI規格では、TEXT Mode negotiationにて知らないキーに対しては、イニシエタはターゲットに対して、「Not Under Stood」の値を応答する(S3)ように規定されている。それを受信すると、ターゲットはMACアドレスを獲得できないので、ログインを許可しない(S4)。
このように、iSCSIのTEXT Mode negotiationを使用してMACアドレスを獲得できる。
ISCSI規格では、TEXT Mode negotiationにて知らないキーに対しては、イニシエタはターゲットに対して、「Not Under Stood」の値を応答する(S3)ように規定されている。それを受信すると、ターゲットはMACアドレスを獲得できないので、ログインを許可しない(S4)。
このように、iSCSIのTEXT Mode negotiationを使用してMACアドレスを獲得できる。
以上、いくつかの実施例について説明したが、本発明は上記実施例に限定されるものでなく、その要旨を逸脱しない範囲で種々変更可能であることは言うまでもない。
100:ホストコンピュータ、 200:ストレージ装置
400:IPネットワーク、 410:高速IPインタフェース
10:ログイン要求フレーム、 20:SNMP要求フレーム
30:SNMP応答フレーム、 40:ログイン応答/拒絶フレーム
80:アクセス管理テーブル、
90A:iSCSI層(イニシエタ)、 90B:iSCSI層(ターゲット)
92:TCP層、 94:IP層
96:MAC層、 98:UDP層
99A:SNMPエージェント、 99B:SNMPマネージャ
400:IPネットワーク、 410:高速IPインタフェース
10:ログイン要求フレーム、 20:SNMP要求フレーム
30:SNMP応答フレーム、 40:ログイン応答/拒絶フレーム
80:アクセス管理テーブル、
90A:iSCSI層(イニシエタ)、 90B:iSCSI層(ターゲット)
92:TCP層、 94:IP層
96:MAC層、 98:UDP層
99A:SNMPエージェント、 99B:SNMPマネージャ
Claims (9)
- IPネットワークを介して接続されるホストコンピュータから送信されるコマンドを処理するストレージ装置において、
前記コマンドの対象となるデータを記憶し、複数の論理ユニットを形成する記憶装置と、
前記ストレージ装置へのアクセスを許可される通信可能ホストコンピュータの第一のMACアドレス及び第一のIPアドレスと、前記通信可能なホストコンピュータがアクセス可能な論理ユニットを示す論理ユニット情報を格納するアクセス管理テーブルを保持するメモリと、
前記ホストコンピュータから送信されるログイン要求のフレームに含まれる情報により、前記ホストコンピュータと前記ストレージ装置とがルータを介して接続されるかを判定する第一判定手段と、
前記第一判定手段による判定の結果、前記ホストコンピュータと前記ストレージ装置とが前記ルータを介して接続される場合には、前記ホストコンピュータに対し第二のMACアドレスを送信するように要求する手段と、
前記要求手段からの要求に対する応答として、前記第一のMACアドレスに前記第二のMACアドレスが含まれるかを判定する第二判定手段と、
前記第一判定手段による判定の結果、前記ホストコンピュータと前記ストレージ装置とが前記ルータを介さずに接続されている場合には、前記第一のMACアドレスに、前記ホストコンピュータから送信される前記ログイン要求のフレームに含まれる第三のMACアドレスが含まれるかを判定する第三判定手段と、
前記第二判定手段又は第三判定手段による判定の結果に応じて、前記ログイン要求の許可を行い、
前記第二判定手段により前記ログイン要求が許可された後、前記複数の論理ユニットに含まれる論理ユニットに対してコマンドを受信した場合には、前記コマンドに含まれる第二のIPアドレスと、前記アクセス管理テーブルに含まれる前記第一のIPアドレス及び前記論理ユニット情報により前記コマンドに関連する処理の許可を行い、
前記第三判定手段により前記ログイン要求が許可された後、前記複数の論理ユニットに含まれる論理ユニットに対してコマンドを受信した場合には、前記コマンドに含まれる第四のMACアドレスと、前記アクセス管理テーブルに含まれる前記第一のMACアドレス及び前記論理ユニット情報により前記コマンドに関連する処理の許可を行うことを特徴とするストレージ装置。 - 前記記憶装置は、iSCSIプロトコルによりアクセスさせることを特徴とする請求項1記載のストレージ装置。
- 前記ストレージ装置は、IPネットワークに接続される装置を監視するためのSNMPマネージャを有し、前記SNMPマネージャは、前記ホストコンピュータから前記第二のMACアドレスを送信するように要求するフレームを、前記ホストコンピュータに関係するインタフェースのMIBを要求するSNMPリクエストとして送信することを特徴とする請求項1乃至2のいずれか記載のストレージ装置。
- 前記ストレージ装置は更に、前記アクセス管理テーブルの内容を変更するための入出力を行うコンソールを備えることを特徴とする請求項1乃至3のいずれかに記載のストレージ装置。
- 前記第二の判定手段による判定で、前記アクセス管理テーブルの前記第一のMACアドレスに前記第二のMACアドレスが含まれていないと判定した場合に、前記ログイン要求の内容をログとして前記メモリに格納する請求項1乃至4のいずれかに記載のストレージ装置。
- 前記第二の判定手段による判定で、前記アクセス管理テーブルの前記第一のMACアドレスに前記第二のMACアドレスが含まれると判定した場合、前記ログイン要求フレームのIPアドレスを、前記第二のMACアドレスと関連付けて前記アクセス管理テーブルに格納する請求項1乃至5のいずれかに記載のストレージ装置。
- ホストコンピュータからネットワークを介して、複数の論理ユニットを形成する記憶装置を有するストレージ装置へ送られるアクセス要求に関して、アクセスを許可するかどうかを管理するアクセス制御の管理方法において、
メモリに形成されたアクセス管理テーブルに、前記ストレージ装置へのアクセスを許可される通信可能ホストコンピュータの第一のMACアドレス及び第一のIPアドレスと、前記通信可能なホストコンピュータがアクセス可能な論理ユニットを示す論理ユニット情報を格納するステップと、
前記ホストコンピュータから送信されるログイン要求のフレームに含まれる情報により、前記ホストコンピュータと前記ストレージ装置とがルータを介して接続されるかを判定する第一判定ステップと、
前記第一判定ステップによる判定の結果、前記ホストコンピュータと前記ストレージ装置とが前記ルータを介して接続される場合には、前記ホストコンピュータに対し第二のMACアドレスを送信するように要求するステップと、
前記要求ステップからの要求に対する応答として、前記第一のMACアドレスに前記第二のMACアドレスが含まれるかを判定する第二判定ステップと、
前記第一判定ステップによる判定の結果、前記ホストコンピュータと前記ストレージ装置とが前記ルータを介さずに接続されている場合には、前記第一のMACアドレスに、前記ホストコンピュータから送信される前記ログイン要求のフレームに含まれる第三のMACアドレスが含まれるかを判定する第三判定ステップと、
前記第二判定ステップ又は第三判定ステップによる判定の結果に応じて、前記ログイン要求の許可を行い、
前記第二判定ステップにより前記ログイン要求が許可された後、前記複数の論理ユニットに含まれる論理ユニットに対してコマンドを受信した場合には、前記コマンドに含まれる第二のIPアドレスと、前記アクセス管理テーブルに含まれる前記第一のIPアドレス及び前記論理ユニット情報により前記コマンドに関連する処理の許可を行うステップと、
前記第三判定ステップにより前記ログイン要求が許可された後、前記複数の論理ユニットに含まれる論理ユニットに対してコマンドを受信した場合には、前記コマンドに含まれる第四のMACアドレスと、前記アクセス管理テーブルに含まれる前記第一のMACアドレス及び前記論理ユニット情報により前記コマンドに関連する処理の許可を行うステップと、
を有することを特徴とするアクセス制御管理方法。 - 前記第一の判定ステップによる判定の結果、又は第二の判定ステップによる判定の結果、不適合の場合、受信されたログイン要求のフレームに関する情報をログとしてメモリに格納するステップを有することを特徴とする請求項7記載のアクセス制御管理方法。
- 前記ホストコンピュータから前記MACアドレスの取得を要求ステップにおいて、iSCSIのTEXT Mode negotiationによるプロトコルを用いて前記ホストコンピュータから前記MACアドレスを得ることを要求することを特徴とする請求項7記載のアクセス制御管理方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003367152A JP4512179B2 (ja) | 2003-10-28 | 2003-10-28 | ストレージ装置及びそのアクセス管理方法 |
| US10/765,289 US20050091504A1 (en) | 2003-10-28 | 2004-01-26 | Storage apparatus and access management method therefor |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003367152A JP4512179B2 (ja) | 2003-10-28 | 2003-10-28 | ストレージ装置及びそのアクセス管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005134961A JP2005134961A (ja) | 2005-05-26 |
| JP4512179B2 true JP4512179B2 (ja) | 2010-07-28 |
Family
ID=34510283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003367152A Expired - Fee Related JP4512179B2 (ja) | 2003-10-28 | 2003-10-28 | ストレージ装置及びそのアクセス管理方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20050091504A1 (ja) |
| JP (1) | JP4512179B2 (ja) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4311637B2 (ja) | 2003-10-30 | 2009-08-12 | 株式会社日立製作所 | 記憶制御装置 |
| JP2005284437A (ja) | 2004-03-29 | 2005-10-13 | Hitachi Ltd | ストレージ装置 |
| US7904712B2 (en) * | 2004-08-10 | 2011-03-08 | Cisco Technology, Inc. | Service licensing and maintenance for networks |
| US8316438B1 (en) | 2004-08-10 | 2012-11-20 | Pure Networks Llc | Network management providing network health information and lockdown security |
| US8478849B2 (en) * | 2004-12-07 | 2013-07-02 | Pure Networks LLC. | Network administration tool |
| US7827252B2 (en) * | 2004-12-07 | 2010-11-02 | Cisco Technology, Inc. | Network device management |
| WO2006063118A2 (en) * | 2004-12-07 | 2006-06-15 | Pure Networks, Inc. | Network management |
| JP2007018401A (ja) | 2005-07-11 | 2007-01-25 | Hitachi Ltd | 記憶制御装置、記憶制御装置の上位インターフェース制御部及び記憶制御装置の情報保護方法 |
| JP4714530B2 (ja) * | 2005-08-29 | 2011-06-29 | 日本電信電話株式会社 | iSCSI自動接続方法及びシステム |
| US20070064623A1 (en) * | 2005-09-16 | 2007-03-22 | Dell Products L.P. | Method to encapsulate SNMP over serial attached SCSI for network management operations to manage external storage subsystems |
| JP4598707B2 (ja) * | 2006-03-30 | 2010-12-15 | 株式会社アイ・オー・データ機器 | 情報保護機能付記録装置、それを用いた情報保護システム及びその方法 |
| US8014356B2 (en) * | 2007-07-13 | 2011-09-06 | Cisco Technology, Inc. | Optimal-channel selection in a wireless network |
| US7853829B2 (en) * | 2007-07-13 | 2010-12-14 | Cisco Technology, Inc. | Network advisor |
| US8700743B2 (en) | 2007-07-13 | 2014-04-15 | Pure Networks Llc | Network configuration device |
| US9491077B2 (en) * | 2007-07-13 | 2016-11-08 | Cisco Technology, Inc. | Network metric reporting system |
| US9026639B2 (en) * | 2007-07-13 | 2015-05-05 | Pure Networks Llc | Home network optimizing system |
| JP2010198303A (ja) * | 2009-02-25 | 2010-09-09 | Canon Inc | 情報処理装置及びその制御方法、並びにプログラム |
| TW201129020A (en) * | 2010-02-10 | 2011-08-16 | Chih-Fu Hwang | Identification device for identifying the end of netwrok cable and network system having the same |
| CN101820378B (zh) * | 2010-03-26 | 2013-01-09 | 童超 | 一种安全信息交换系统 |
| US8649297B2 (en) * | 2010-03-26 | 2014-02-11 | Cisco Technology, Inc. | System and method for simplifying secure network setup |
| US8724515B2 (en) | 2010-03-26 | 2014-05-13 | Cisco Technology, Inc. | Configuring a secure network |
| JP5549432B2 (ja) | 2010-07-02 | 2014-07-16 | 富士通株式会社 | ストレージ装置及びアクセス制御プログラム |
| CN103927493B (zh) * | 2014-03-04 | 2016-08-31 | 中天安泰(北京)信息技术有限公司 | 数据黑洞处理方法 |
| CN105279437B (zh) * | 2014-06-20 | 2018-12-04 | 北京奇安信科技有限公司 | 一种网站扫描控制方法和装置 |
| US11126483B1 (en) * | 2020-04-17 | 2021-09-21 | Oracle International Corporation | Direct message retrieval in distributed messaging systems |
| CN111610935B (zh) * | 2020-05-22 | 2022-06-17 | 浪潮电子信息产业股份有限公司 | 一种访问控制方法、装置、设备、介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11187057A (ja) * | 1997-12-19 | 1999-07-09 | Hitachi Cable Ltd | リピーティングハブ及びネットワーク管理装置 |
| JP2000187646A (ja) * | 1998-12-22 | 2000-07-04 | Mitsubishi Electric Corp | 情報転送システム |
| JP2003162461A (ja) * | 2001-11-28 | 2003-06-06 | Landec Corp | インターネット網におけるフィルタリング方法およびそのプログラム |
| JP2003303174A (ja) * | 2002-04-08 | 2003-10-24 | Hitachi Hybrid Network Co Ltd | 端末認証方法および装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6088450A (en) * | 1996-04-17 | 2000-07-11 | Intel Corporation | Authentication system based on periodic challenge/response protocol |
| US6034618A (en) * | 1996-10-31 | 2000-03-07 | Matsushita Electric Industrial Co., Ltd. | Device authentication system which allows the authentication function to be changed |
| US6363067B1 (en) * | 1997-09-17 | 2002-03-26 | Sony Corporation | Staged partitioned communication bus for a multi-port bridge for a local area network |
| US6292838B1 (en) * | 1999-08-23 | 2001-09-18 | 3Com Corporation | Technique for automatic remote media access control (MAC) layer address resolution |
| US6845387B1 (en) * | 2000-04-07 | 2005-01-18 | Advanced Digital Information Corporation | Creating virtual private connections between end points across a SAN |
| AU2002248158A1 (en) * | 2000-11-02 | 2002-08-12 | Pirus Networks | Tcp/udp acceleration |
| US6622220B2 (en) * | 2001-03-15 | 2003-09-16 | Hewlett-Packard Development Company, L.P. | Security-enhanced network attached storage device |
| US7693970B2 (en) * | 2001-06-14 | 2010-04-06 | Savvis Communications Corporation | Secured shared storage architecture |
| JP2003271429A (ja) * | 2002-03-15 | 2003-09-26 | Hitachi Ltd | 記憶装置資源管理方法、記憶資源管理プログラム、該プログラムを記録した記録媒体、及び記憶資源管理装置 |
| US6895461B1 (en) * | 2002-04-22 | 2005-05-17 | Cisco Technology, Inc. | Method and apparatus for accessing remote storage using SCSI and an IP network |
| JP4382328B2 (ja) * | 2002-06-11 | 2009-12-09 | 株式会社日立製作所 | セキュアストレージシステム |
| JP2004157892A (ja) * | 2002-11-08 | 2004-06-03 | Hitachi Ltd | 計算機システム、記憶装置、アクセス管理方法及びプログラム |
-
2003
- 2003-10-28 JP JP2003367152A patent/JP4512179B2/ja not_active Expired - Fee Related
-
2004
- 2004-01-26 US US10/765,289 patent/US20050091504A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11187057A (ja) * | 1997-12-19 | 1999-07-09 | Hitachi Cable Ltd | リピーティングハブ及びネットワーク管理装置 |
| JP2000187646A (ja) * | 1998-12-22 | 2000-07-04 | Mitsubishi Electric Corp | 情報転送システム |
| JP2003162461A (ja) * | 2001-11-28 | 2003-06-06 | Landec Corp | インターネット網におけるフィルタリング方法およびそのプログラム |
| JP2003303174A (ja) * | 2002-04-08 | 2003-10-24 | Hitachi Hybrid Network Co Ltd | 端末認証方法および装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20050091504A1 (en) | 2005-04-28 |
| JP2005134961A (ja) | 2005-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4512179B2 (ja) | ストレージ装置及びそのアクセス管理方法 | |
| JP4311637B2 (ja) | 記憶制御装置 | |
| JP3745961B2 (ja) | ネットワークと接続している記憶システムへの接続を認証するための方法および装置 | |
| US8700587B2 (en) | Security method and system for storage subsystem | |
| US6799255B1 (en) | Storage mapping and partitioning among multiple host processors | |
| US6295575B1 (en) | Configuring vectors of logical storage units for data storage partitioning and sharing | |
| JP5378510B2 (ja) | 管理システム | |
| US7051182B2 (en) | Mapping of hosts to logical storage units and data storage ports in a data processing system | |
| US7093021B2 (en) | Electronic device for secure authentication of objects such as computers in a data network | |
| US7320032B2 (en) | Methods and structure for reducing resource hogging | |
| US20080313187A1 (en) | Storage system capable of authenticating hosts on a network | |
| US20080022120A1 (en) | System, Method and Computer Program Product for Secure Access Control to a Storage Device | |
| US20090138613A1 (en) | Network Converter and Information Processing System | |
| JP2003242039A (ja) | ストレージサブシステム、記憶制御装置及びデータコピー方法 | |
| JP2003030053A (ja) | 論理ユニット毎のセキュリティ機能を備えた記憶サブシステム | |
| US20070079092A1 (en) | System and method for limiting access to a storage device | |
| JP4550557B2 (ja) | フィルタ定義管理方法、フィルタ定義管理装置、および、ストレージエリアネットワーク | |
| JP3744248B2 (ja) | ファイバチャネル接続ストレージサブシステム及びそのアクセス方法 | |
| JP4329412B2 (ja) | ファイルサーバシステム | |
| JP4598248B2 (ja) | 記憶サブシステムのセキュリティシステム | |
| US7127543B2 (en) | Access control apparatus and access control method | |
| US20050251684A1 (en) | Storage control system and storage control method | |
| JP4315142B2 (ja) | ストレージシステム及びストレージシステムのアクセス方法 | |
| Maddi | Performance analysis and implementation of object based storage |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060124 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20060124 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080828 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080916 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081112 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090825 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091026 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100420 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100508 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130514 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |